La Universidad de Minnesota se disculpa por contribuir con código malicioso al proyecto Linux

Investigadores de la Universidad de Minnesota se disculparon con los mantenedores de Linux Kernel Project el sábado por incluir intencionalmente vulnerabilidades en el código del proyecto, lo que llevó a que se prohibiera a la escuela contribuir al proyecto de código abierto en el futuro.

«Si bien nuestro objetivo era mejorar la seguridad de Linux, ahora entendemos que fue dañino para la comunidad convertirlo en un tema de nuestra investigación y desperdiciar sus esfuerzos revisando estos parches sin su conocimiento o permiso», dijo el profesor asistente Kangjie Lu. , junto con los estudiantes graduados Qiushi Wu y Aditya Pakki, dijo en un correo electrónico.

«Lo hicimos porque sabíamos que no podíamos pedir permiso a los mantenedores de Linux, o estarían atentos a los parches hipócritas», agregaron.

La disculpa proviene de un estudio sobre lo que se llama «compromisos hipócritas», que se publicó a principios de febrero. El proyecto tenía como objetivo agregar deliberadamente vulnerabilidades de uso posterior al kernel de Linux en nombre de la investigación de seguridad, aparentemente en un intento de resaltar cómo el código potencialmente malicioso podría pasar el proceso de aprobación y, como consecuencia, sugerir formas de mejorar el seguridad del proceso de aplicación de parches.

Un documento de aclaración previamente compartido por los académicos el 15 de diciembre de 2020 indicó que la Junta de Revisión Institucional (IRB, por sus siglas en inglés) de la universidad había revisado el estudio y determinó que no se trataba de una investigación en humanos, solo para dar marcha atrás, y agregó que «a lo largo del estudio, honestamente no pensamos esta es una investigación en humanos, por lo que no solicitamos la aprobación del IRB al principio. Pedimos disculpas por las inquietudes planteadas».

Si bien los investigadores afirmaron que «no introdujimos ni intentamos introducir ningún error o vulnerabilidad en OSS», el hecho de que surgieron pruebas de lo contrario, lo que implica que la investigación se realizó sin la supervisión adecuada, y arriesgó la seguridad del kernel condujo a una prohibición unilateral de envíos de código de cualquier persona que use una dirección de correo electrónico «umn.edu», además de invalidar todo el código anterior enviado por los investigadores de la universidad.

«Nuestra comunidad no aprecia que se experimente con ellos y que se les ‘pruebe’ mediante el envío de parches conocidos que (sic) no hacen nada a propósito o introducen errores a propósito», dijo el responsable del kernel de Linux. Greg Kroah Hartman dijo en uno de los intercambios la semana pasada.

Tras el incidente, el Departamento de Informática e Ingeniería de la universidad dicho estaba investigando el incidente y agregó que estaba investigando el «método de investigación y el proceso mediante el cual se aprobó este método de investigación, determinar la acción correctiva apropiada y proteger contra problemas futuros».

«Esto es peor que simplemente experimentar; es como decir que eres un ‘investigador de seguridad’ yendo a una tienda de comestibles y cortando las líneas de freno de todos los autos para ver cuántas personas chocan cuando se van. Enormemente poco ético, » tuiteó Jered Floyd.

Mientras tanto, se espera que todos los parches enviados a la base de código por los investigadores y profesores de la universidad se reviertan y se vuelvan a revisar para verificar si son correcciones válidas.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática